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摘 要 : 针对 Modbus 工业 总 线 协 议 的 特殊 性 及 工控 数据 样本 的 不 均衡 性 ， 利 用 单 类 支持 向 量 机 《OCSVM) 分 别 构建 
正常 OCSVM 模型 和 异常 OCSVM 模型 ， 即 双 轮 廊 模 态 ， 模 拟 系统 通信 的 正常 模式 和 异常 模式 ， 实 现 工 控 系 统 异 常 检 


测 。 同 时 将 遗传 算法 优化 自 变 量 降 维 应 用 于 工控 网 络 入 侵 检测 场景 , 实现 对 输入 自 变量 的 降 维 压缩 处 理 , 防止 OCSVM 
模型 出 现 过 拟 合 现象 及 分 类 准确 率 低 的 问题 ， 提 高 异常 检测 的 精度 ， 缩 减 建 模 时 间 ， 并 通过 仿真 验证 了 提出 算法 对 工 
控 网 络 异 常 检测 的 有 效 性 
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Abstract: The Modbus industry bus protocol is special. And the network intrusion data sample of industrial control system is 
not balanced. So this paper used one-class support vector machine (OCSVM) to construct normal OCSVM model and abnormal 
OCSVM model to simulate the normal mode and abnormal mode of system communication. Then to realize the abnormal 
detection of industrial control system. In order to prevent the OCSVM model from overfitting and the low accuracy of 
classification, this paper used the genetic algorithm to the industrial control network by optimizing the dimensionality reduction 
of the independent variable. This method improves the accuracy of the anomaly detection and reduces the modeling time. 
Simulation results show that the proposed algorithm is effective for anomaly detection of industrial network. 
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0 引言 的 访问 控制 和 网 络 隔离 媚 ， 但 人 工 设 置 规则 容易 导致 错误 。 同 
时 网 络 安全 中 间 件 产品 会 影响 系统 的 实时 操作 。 现 阶段 ， 防 火 
近年 来 ， 工 业 控 制 系统 (industrial control system) 与 互联 肖 技 术 对 网 络 的 防护 不 足以 应 对 大 规模 化 的 网 络 以 及 复杂 化 的 
网 的 交互 逐渐 密切 ， 工 业 控 制 进入 智能 时 代 。 当 前 ， 除 电力 、 入 侵 攻 击 中。 如何 让 工控 安全 从 “被 动 防御 ”走向 “主动 防护 ” 
石化 、 核 设施 等 国家 基础 工业 领域 外 ， 与 民生 密切 相关 的 市 政 成 为 网 络 安全 领域 的 首要 问题 。 入 侵 检测 技术 作为 一 种 主动 防 
系统 也 分 布 了 大 量 的 工业 控制 系统 。 工 业 控 制 设备 和 工控 通信 护 技 术 ， 能 够 检测 发 现 隐藏 于 流 经 网 络 边 界 正常 信息 流 中 的 入 
协议 从 设计 之 初 就 对 信息 安全 问题 考虑 不 足 ， 同 时 由 于 自身 的 侵 行 为 B， 分 析 潜 在 威胁 并 进行 安全 审计 ， 所 以 可 广泛 应 用 于 
脆弱 性 、 各 种 漏洞 和 后 门 的 存在 ， 让 工控 系统 信息 安全 隐患 问 工控 系统 的 网 络 安全 中 。 
题 日 益 突 出 。 前 ， 异 常 入 侵 检测 系统 被 广泛 应 用 于 工控 安全 主动 防护 
于 工控 安全 自身 的 特殊 性 ， 工 业 防 火 墙 虽 然 实现 了 通信 中 四。 以 往 对 异常 检测 的 研究 多 采用 机 器 学 习 的 方法 ， 其 中 文 
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TT 


持 向 量 机 (support vector machine, SVM) 在 解决 小 样本 、 非 线 。 使 用 TCP/IP 协议 栈 , 而 工控 系统 使 用 专用 通信 协议 或 规约 , 多 
性 及 高 维 模式 识别 中 具备 特有 的 优势 ， 因 而 广泛 应 用 于 工控 异 。 采用 Modbus TCP 通信 协议 09。 

常 检 测 中 5659。 文献 [4] 利 用 SVM 的 分 类 方法 建立 工控 通信 协议 Modbus 是 一 种 工业 现场 总 线 协 议 标准 ，Modbus 协议 是 一 
数据 检测 模型 ， 虽 然 能 在 一 定 程度 上 检测 工业 控制 系统 的 异常 项 应 用 层 报 文 传输 协议 ， 包 括 ASCII、RTU、TCP 三 种 报 文 类 
通讯 行为 , 但 误 报 率 仍然 较 高 。 由 于 单 类 支持 向 量 机 (OCSVM) ” 型， 协议 本 身 没 有 定义 物理 层 ， 只 是 定义 了 控制 器 能 够 认识 和 
仅 需 一 类 样本 即 可 训练 异常 检测 模型 B1， 故 可 应 用 于 工控 网 络 。 使 用 的 消息 结构 由, Modbus 协议 标准 分 为 两 类 : 串 行 链 路 上 的 
异常 检测 系统 。 文 献 [7] 提 出 了 利用 OCSVM 检测 入 侵 起 源 和 时 Modbus 和 TCP/IP 上 的 Modbus。 通过 Modbus TCP 报 文 传输 协 
间 节 点 ， 创 建 集群 的 入 侵 检测 模型 ， 提 高 了 检测 精度 ， 但 是 实 。 议 ， 控 制 器 相互 之 间 通 过 网 络 〈 例 如 以 太 网 ) 和 其 他 设备 之 间 


小 到 


时 性 较 差 ， 文 献 [8] 提 出 将 K- 均 值 聚 类 方法 与 OCSVM 相 结合 。” 通信 HI。Modbus TCP 报 文 传输 服务 结构 如 图 1 所 示 。 
进行 入 侵 检测 ， 能 够 检测 恶意 网 络 流量 ， 实 现 入 侵 检测 ， 虽 然 用 户 应 用 
在 检测 时 间 上 有 所 提高 ， 但 是 面 对 高 维 非 线性 的 数据 样本 时 ， a | 
资 通讯 Modbus Modbus 
容易 出 现 过 拟 合 现象 ;文献 [9] 将 KICA 方法 与 OCSVM 相 结合 ， 源 || “| 应 用 层 | 客户 接 客户 接 
降低 故障 检测 率 ， 避 免 了 初始 值 对 分 离 矩阵 的 影响 ， 从 而 缩短 | 由 
Ee Modbus 客 户 机 Modbus 服 务 器 
延迟 时 间 。 
VI pp 
为 提高 检测 精度 ， 需 要 对 OCSVM 参数 v 和 核 函 数 参数 g 量 || TCP 管理 层 
_ ee i 、 空 参 妥 连接 管 |, | 访问 控 
进行 寻 优 。 常 用 的 优化 单 类 支持 向 量 机 参数 方法 主要 有 随机 先 控 | | 天生 | 生理 | 抽 
取 法 、 网 格 搜索 法 、 粒 子 群 算法 、 遗 传 算法 等 。 传 统 的 根据 经 < 7 
仿 随 机 选取 (v, g) 的 方法 很 难保 证 检测 精度 ， 具 有 较 大 的 随机 性 ， TCP/IP 栈 
并 且 不 能 保证 选择 的 参数 是 最 优 的 。 网 格 搜索 法 主要 对 图 1 Modbus TCP 报 文 传输 服务 结构 
OCSVM 参数 v 和 核 函 数 参 数 g 设置 搜索 范围 和 步 长 ， 确 定 二 实现 完整 的 Modbus TCP 通讯 过 程 需要 客户 机 建立 一 个 连 
维 网 络 ， 依 据 固定 的 步 长 进行 寻 优 ， 在 步 长 足够 短 且 空 间 足 够 。 接 ， 向 服务 器 发 送 Modbus 请 求 ， 客 户 机 在 收 到 应 答 之 后 正常 


大 时 具有 不 错 的 寻 优 效果 。 但 是 网 格 搜索 法 寻 优 速度 慢 ， 而 且 ”地 关闭 连接 。 
容易 获得 局 部 最 优 解 ， 严 重 影响 OCSVM 的 检测 效果 和 检测 的 Modbus TCP 协议 定义 了 一 个 与 基础 通信 层 无 关 的 简单 协 
实时 性 。 粒 子 群 算法 对 OCSVM 参数 寻 优 过 程 中 ， 容 易 实 现 议 数据 单元 (PDU), 包括 数据 和 功能 码 , 特定 总 线 或 网 线 上 的 
需要 调整 的 参数 并 不 多 ， 寻 优 速度 快 、 检 测 时 间 短 ， 但 是 容易 。” Modbus 协议 映射 能 够 在 应 用 数据 单元 (ADU) 上 引入 一 些 附 
陷入 局 部 最 优 。 遗 传 算法 优化 OCSVM 参数 虽然 操作 较 复杂 ， ”加 码 [ 轨 。 服 务 器 对 客户 机 响应 时 ,使 用 功能 码 域 来 指示 正常 响 
需要 进行 选择 、 交 叉 、 变 异 等 操作 , 但 是 能 够 得 到 全 局 最 优 解 ， 应 或 异常 响应 9。 提取 入 侵 检测 数据 即 对 Modbus TCP 数据 帧 
能 够 提高 OCSVM 模型 的 检测 准确 率 。 本 文 工 作 是 在 缩减 检测 。 ”进行 处 理 。Modbus TCP 数据 帧 结构 如 下 图 2。Modbus TCP 实 
时 间 的 基础 上 提高 检测 精度 ， 降 低 误 报 率 和 漏 报 率 ， 因 此 选取 ” 现 是 在 TCP/IP 载荷 内 部 包含 了 Modbus 原 有 的 校 验 数据 。 
遗传 算法 对 OCSVM 参数 v 和 核 函 数 参数 g 进行 寻 优 。 HDLC 帧 头 | 源 /目的 的 MAC | 源 /目的 IP | 载荷 

对 Modbus 工业 总 线 协议 及 工控 数据 样本 的 不 均衡 性 ， 本 


文 利用 单 类 支持 向 量 机 (OCSVM) 仅 需 一 类 样本 即 可 训练 异常 pr 

检测 模型 的 特点 ， 分 别 构建 正常 OCSVM 模型 和 异常 0CSVM 模 信 输 间隔 | gfy | sty | N*8 位 | 16fy | 传输 间隔 

型 ， 即 双 轮 廊 模 态 ， 模 拟 系统 通讯 的 正常 模式 和 异常 模式 ， 实 Lk 连续 数据 流 Ue 

现 工控 系统 异常 检测 。 同 时 经 过 研究 发 现 OCSVM 模型 由 于 输 图 2 Modbus TCP 帧 结构 

入 自 变量 很 多 、 输 入 自 变量 之 间 不 相互 独立 ， 容 易 出 现 过 拟 合 OCSVM 建立 异常 检测 模型 所 需 数据 特征 需要 对 Modbus 


的 现象 ， 从 而 导致 OCSVM 模型 检测 精度 低 、 建 模 时 间 长 等 问 ” TCP 协议 提取 特征 向 量 ， 包 括 从 工控 流量 数据 直接 提取 的 地 址 
题 。 所 以 本 文采 用 遗传 算法 对 采集 的 工业 数据 进行 特征 约 简 去 码 、 长 度 、 功 能 码 、 端 口号 、 协 议 标识 符 、Modbus 长 度 等 ， 以 
除 元 余 ， 选 择 最 能 反映 输入 与 输出 关系 的 自 变 量 参与 工控 系统 ”及 根据 异常 行为 模式 结合 实际 工控 流量 进行 构造 的 反映 操作 异 


异常 检测 算法 的 建 模 ， 使 得 检测 时 间 缩 得， 检测 准确 率 得 以 提 常 的 检测 特征 ， 如 单位 时 间 内 数据 地 址 异常 码 数 、 连 接 设 备 标 
高 。 识 数 、 读 功能 码 数 等 。 使 用 Wireshark 软件 截获 数据 报 文 , 提取 

最 能 反映 数据 特征 的 属性 构造 特征 向 量 ， 得 到 工控 流量 异常 检 
1 ”Modbus TCP 通信 协议 分 析 及 特征 提取 0 0 


测 初 始 数 据 集 。 


工业 控制 系统 是 指 面 向 于 工业 领域 的 控制 系统 ， 工 控 系 统 
2 3 地 向 量 机 异常 检测 模型 
信息 安全 与 传统 IT 网 络 信息 安全 之 间 具 有 较 大 差异 性 。 其 中 ， 是 同 是 二 人 全国 村 
数据 交换 协议 是 较 大 的 不 同 点 。 传 统 IT 信息 系统 数据 交换 协议 工业 异常 检测 数据 样本 正常 数据 多 ， 异 常数 据 少 ， 样 本 呈 
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现 不 平衡 性 ， 如 何在 不 平衡 类 别 的 异常 数据 上 仍 能 取得 较 好 的 


检测 效果 是 关注 的 问题 之 一 。 One-Class 支持 向 量 机 解决 一 些 只 


有 一 类 的 样本 可 用 于 


1 练 分 类 器 的 情况 。 


本 文采 用 OCSVM 分 


别 建立 正常 模式 和 异常 模式 下 的 双 轮 
制 实 时 发 现 网 络 异常 情况 。 


郭 模型 ， 通 过 协 


同 判别 机 


OCSVM 首先 将 输入 空间 通过 核 函数 映射 到 高 维 空间 ， 在 


高 维 空间 将 它们 与 原点 尽 可 能 分 开 。 
个 最 优 超 平面 ， 假 设 多 


边界 之 外 的 数据 被 分 为 异常 , 实 


标 原点 ) 的 最 大 间隔 。 


即 寻 求 在 特征 空间 构造 一 
e 标 原点 为 异常 样本 ， 类 别 标签 -1， 正 党 
样本 类 别 标签 +1， 目 标 是 确定 正常 样本 的 边界 , 即 最 优 超 平面 


岗 正 常 工业 数据 与 异常 数据 ( 坐 
对 于 训练 数据 x，ftx) 表 明 它 在 高 维 空间 
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I 
P=,oK(x,x,)) 


i=1 


求 出 决策 函数 即 最 优 超 平 面 


|， 也 就 得 到 基于 OCSVM 的 


业 入 侵 检测 模型 : 


i 
f (2)=sgn(2 ouK(%,x)—p) 


i=] 


为 得 到 较 满意 的 异常 检测 模型 ， 用 


OCSVM 做 分 类 测试 


下 


需 


要 调节 响应 参数 (v,g) 来 得 到 理想 的 预测 分 类 准确 率 ， 本 文采 


位 于 超 平面 的 正 负 方向 , tx) 为 正 认为 是 1 


E 常 类 ,反之 则 认为 异 


湛 王 
本 
站 

| 

上 


对 
上 
Da 
UD 


。 若 在 二 维 


空间 ， 最 优 超 平 


基于 高 斯 核 函 数 的 OCSVM 分 类 问题 
测 数据 线性 不 可 分 时 ， 
斯 核 函数 ， 将 数据 从 输入 空间 
或 性 可 分 ， 这 样 就 可 以 准确 


引入 核 函数 。 本 文 使 


的 非 线 性 转变 到 特征 空间 转 
的 对 异常 检测 数据 进行 分 类 ， 


OCSVM 拟 寻 求 最 小 化 目标 函数 : 


看 即 一 条 直线 。 


I 
minslolf + 5-p 


StOD(xX)W2p-6,6>0 


其 中 : x; 为 样本 数据 ， 


原始 空间 到 特征 空间 映射 , @ 和 Pp 分 别 为 特征 空间 中 超 平 


法 向 量 和 补偿 。 
引入 拉 格 朗 


1 


1 为 训练 集 数 量 ， 


日 函数 : 


VY 为 权衡 参数 ， 中 为 


面 的 


2 1 i ! 1 
五 + T2602 SB Do pt 


2 


其 中 ，Q, 、/ 为 拉 格 明 


空间 映射 到 特征 空间 得 对 偶 问题 : 


K(%,x)) =< B(x), Dx)) >=exp(-g| 


. 1 (a 
minL==2 >》 qa K(x,x)), 
i=1 j=1 


上 式 可 求 出 


pap 


日 因子 。 引 入 高 


斯 核 函数 将 样本 


2 

-| ) 
1 
SI.0<a,<— 
vl 


遗传 算法 


Si 


3 ”遗传 算法 优化 自 变量 降 维 


进行 参数 寻 优 ， 取 分 类 准确 率 作为 适应 度 函数 。 


本 文 遗 传 算法 优化 自 变 量 降 乡 


侍 建 模 选用 工业 入 


包括 异常 检测 标签 (正常 样本 +1 和 异常 样本 -1)、 直 接 提取 


特征 (Modbus/TCP 长 度 、 地 址 码 、 端 


口号 等 ) 和 构造 特征 (六 


侵 检测 数 : 


至 芭 


Im 
I 


位 时 间 内 数据 地 址 异常 码 数 、 连 接 设备 标识 数 、 数 读 功 能 码 数 


等 ), 共 21 个 特 


在 一 定 关系 ， 


征 数据 。 显然, 这 21 个 输入 自 变 量 相互 之 间 存 
非 相 互 独立 。 为 缩短 建 模 时 间 、 提 高 建 模 精度 


? 


将 除去 检测 标签 后 的 20 个 输入 自 变量 中 起 主要 影响 因素 的 


变量 筛选 出 来 参与 最 终 建 模 51。 
利 | 


遗传 算法 进行 优化 计算 ， 需 要 将 解 空 间 映 射 到 编码 
间 ， 每 个 编码 对 应 问题 的 一 个 解 ( 即 染色 体 或 个 体 )。 将 编码 


度 设计 为 20， 染 色 体 的 每 一 位 对 应 一 个 输入 自 变 


。 若 染色 


某 一 位 为 “1”， 表示 该 位 对 应 的 输入 


变量 参与 最 终 建 模 ; 


之 ， 则 表示 “0” 对 应 的 输入 自 变量 不 作为 最 终 自 变量 建 模 。 


文 对 ModbusTCP 工业 数据 输入 自 变量 降 维 选取 测试 集 数 据 


方 误差 的 倒数 作为 遗传 算法 的 适应 度 函 数 ， 经 过 不 断 迭 代 短 


党 


长 
体 
反 
本 
均 
选 


出 最 具有 代表 性 的 输入 自 变 量 参与 OCSVM 入 侵 检测 模型 的 奸 
模 。 遗传 算 法 优化 自 变量 降 维 流程 图 如 图 4 所 示 。 
BP 模 型 建立 
〈20 个 输入 自 变 量 ) 
产生 初始 种 群 
二 
二 ee 个 
适应 度 函 数 计算 交叉 


不 

选择 

i 
-一 请 足 终 止 条 件 ? 


i 
亿 化 结果 输出 


(筛选 出 的 自 变 量 》 


BP 模型 建 
筛选 输入 


豆 
变量 ) 


一 


图 4 设计 步骤 


a) 单 BP 模型 构建 。 为 了 比较 遗传 算法 优化 前 后 预测 的 效 


果 ， 先 利 / 


] 全 部 的 20 个 输入 自 变量 建立 BP 模型 。 
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b) 初 始 种 群 产 生 。 产 生 随机 的 n 个 初始 数据 ， 特 点 是 具有 


以 合作 期 二! 


ChinaX 
闫 腾飞 ， 等 : gg /el 常 检测 算法 


对 于 OCSVM 来 讲 , 求 得 满意 解 的 时 间 复 杂 度 S$, 最 坏 可 以 


串 结构 ， 每 个 具有 串 结构 的 数据 作为 一 个 个 体 ， 一 个 种 群 由 7 
个 个 体 组 成 。 本 文 遗传 算法 即 对 这 个 初始 串 结构 进行 迭代 。 


洋 


o) 适 应 度 函 数 计算 。 选 取 测试 集 数据 均 方 误差 平方 的 倒 
作为 适应 度 函 数 ， 
1 1 
SE sse(T — 万 ” D>- 
其 中 :下 = 仁 , 记 总 } 为 测试 集 的 预测 值 ，T = {， 
试 集 的 真实 值 ，n 为 测试 集 样本 数目 。 
d) 选 择 操作 。 该 步骤 选用 比例 选择 算 子 。 


f (0) = 


,…} 为 测 


计算 种 群 所 有 个 体 适应 度 之 和 为 
F=f (XO k=L2,..,n 
k=1 


计算 种 群 个 体 相 对 适应 度 ， 作 为 个 体 被 选中 
种 群 的 概率 : 


遗传 到 下 代 


do 
FrF 


k 


TE 


采用 模拟 赌 轮 选择 法 ， 随 机 产生 (0, 1) 之 间 的 数 从 而 确定 
每 个 个 体 被 选中 的 次 数 。 适 应 度 越 大 则 该 个 体 被 选择 的 机 会 就 
越 大 。 如 果 该 个 体能 够 被 多 次 选择 ， 那 么 它 的 遗传 基因 就 会 在 
种 群 中 扩大 ， 则 该 个 体 被 选择 到 优化 后 的 自 变量 个 体 概率 就 越 
大 。 


i 


6) 交叉 操作 。 采 用 单 点 交叉 算 子 实现 自 变量 的 压缩 降 维 ， 
算数 交叉 算 子 对 BP 神经 网 络 权 值 和 冰 值 进行 优化 。 


有 变异 操作 。 采 用 单 点 变异 算 子 实现 输入 自 变量 的 降 维 , 非 
均匀 变异 算 子 对 BP 神经 网 络 权 值 和 病 值 进行 优化 。 


g) 优 化 结果 输出 。 
关系 的 变量 组 合 。 

h) 选 择 训 练 集 与 测试 外 
得 对 应 的 训练 集 与 测试 集 ， 用 了 


代表 输入 输出 


CR 


经 过 多 次 迭代 ， 得 到 最 和 


pu 
o 


经 过 遗传 算法 对 自 变 量 降 维 后 获 
F OCSVM 模型 进行 异常 检测 。 


本 文 使 用 遗传 算法 对 OCSVM 参数 v 和 核 函 数 参数 g 进行 
优 。 研 究 发 现 OCSVM 模型 优 劣 的 主要 影响 因素 是 参数 v 和 
函数 参数 g 的 取 值 ， 应 用 遗传 算法 对 YY 和 g 进行 寻 优 ， 取 得 
多 解 ， 提 高 模型 的 检测 准确 率 。 


区 筷 


根据 已 有 文献 对 GA 计算 复杂 度 的 研究 50, 假定 在 +t 代 时 ， 
坏 模式 生存 下 来 的 期 望 个 数 由 二 项 式 分 布 的 均值 给 出 。 当 遗传 
算法 经 过 时 间 % 到 达 满 足 条 件 的 解 时 ， 有 


$=0.50—2h+ /2h—D)’—(8/AInGy,/y,) ) 


其 中 :入 和 h 是 与 遗传 算法 模式 可 靠 性 有 关 的 常数 049。 


达到 ol(m”), 其 中 是 支持 向 量 的 个 数 。 GA-OCSVM 方法 的 复 
杂 度 , 与 遗传 算法 中 个 体 行为 变化 的 概率 相关 [1 和, 而 SVM 的 
复杂 度 虽 然 没 有 固定 的 比例 ， 但 与 支持 向 量 的 个 数 多 少 和 训练 
集 的 大 小 有 关 ， 所 以 OCSVM 算法 复杂 度 容 易 受 所 选取 训练 集 


影响 。 


同时 由 于 GA 的 引入 ， 需 要 训练 的 OCSVM 数量 会 有 所 增 
加 ， 故 相应 的 训练 时 间 会 有 所 延长 ， 但 是 结构 的 优化 和 训练 过 
旦 是 离线 进行 的 ， 不 会 影响 GA-OCSVM 的 在 线 实时 应 用 。 以 
增加 离线 优化 时 间 为 代价 换取 OCSVM 最 优 分 类 性 能 是 值得 的 ， 
所 以 本 文 使 用 遗传 算法 对 OCSVM 模型 的 参数 进行 优化 。 


4 ”基于 OCSVM 双 轮 廓 异常 检测 模型 


采用 OCSVM 分 别 构建 功能 控制 行为 的 异常 OCSVM 模型 
和 正常 OCSVM 模型 ， 模 拟 系统 通信 的 异常 模式 和 正常 模式 ， 
通过 协同 判别 实时 发 现 网 络 中 的 异常 。 双 轮廓 模型 的 实时 协同 
判别 流程 如 图 5 所 示 。 


OCSVM 双 轮廓 模型 判别 规则 模块 
网 络 流量 
王 一 一 ) 数据 捕获 与 
行为 分 析 
单 | | 小 异常 OCSVM 
yw 法 | | 支 
控 | | 数 | | 优 | | 竺 
制 | 放 据 | 加 化 | 上 
恋 ~、 
统 | | 集 量 | | 模 警 |) 
降 型 | ed 
维 | 一 


制 漏 报 率 


判决 
制 误 报 率 


图 5 基于 双 轮 廊 模 型 的 异常 检测 方法 实时 判别 流程 

实时 协同 判别 引擎 实时 捕获 并 提取 功能 控制 行为 信息 ， 以 
此 作为 模型 的 输入 数据 进行 异常 判定 。 双 轮廓 模型 的 协同 判别 
机 制 简 述 如 下 : 


a) 若 异 常 OCSVM 模型 判定 为 “正常 "， 同 时 正常 OCSVM 
模型 也 判定 为 “正常 *， 则 最 终结 果 为 “正常 ”; 


时 正常 OCSVM 


b) 若 异 常 OCSVM 模型 判定 为 “异常 ”， 
模型 也 判定 “异常 *， 则 最 终结 果 为 “异常 


岂 


c) 若 异 常 OCSVM 模型 与 正常 OCSVM 模型 判定 结果 不 

致 ， 则 需要 进行 进一步 的 仲裁 判决 ， 仲 裁判 决 拟 考虑 误 报 率 

和 漏 报 率 两 个 因素 ， 拟 构建 不 同 报警 的 影响 权 值 ， 完 成 最 终 的 
异常 判定 。 
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利用 
函数 ,对 
1000 条 工 


理 后 Ea 采 上 4 


函数 进化 曲线 如 


MATLAB 
遗传 算法 1 


cp 


EC 化 


实验 验证 与 分 析 


为 验证 本 文 提出 的 基于 OCSVM 异常 检 沈 


平台 , 提取 工控 流量 数 


据 , 使 


经 网 络 工 
自 变 量 降 维 


医 


| 模型 ， 


Wireshark 软件 截获 数据 报 文 。 


仿 


搭建 


箱 及 遗传 算法 了 


的 


箱 提供 


适应 度 函 数 进化 曲线 


行 [0, 1] 归 
其 余 300 条 数据 作 
后 ， 种 群 适应 度 


= 一 一 一 一 一 一 一 一 
一 VV7 vv 


一 一 最 优 适应 度 函数 
一 一 平均 适应 度 函 数 


50 60 70 80 
进化 代数 


90 100 


图 6 自 变 量 降 维 种 群 适应 度 函 数 进 化 曲线 


从 上 述 结果 看 出 ， 经 降 给 
自 变量 个 数 为 全 部 输入 自 
比 优化 筛选 前 后 的 BP 网 络 测试 结果 ， 发 


参与 建 模 的 输入 


后 ， 筛选 出 一 组 


现 ， 


变量 进行 压缩 降 


有 效 性 。 


对 OCSVM 构建 的 双 轮 廓 模型 异常 检测 算法 
抓 取 1000 条 数据 包 


余 400 条 数据 | 


和 预测 分 类 如 下 


的 实际 分 类 和 预测 分 类 如 下 图 7 所 
Accuracy =93.75% ,经 过 遗传 算法 优化 后 测试 集 的 


多 


Accuracy = 98.00% 。 


8 所 示 ， 


试 集 的 实际 分 类 和 预测 分 类 图 


Accuracy=93.75% 


自 变 量 。 
变量 个 数 的 一 半 。 
当选 用 


遗传 算法 对 输入 自 
该 方法 的 


分 类 正 


确 


2 
测试 集 样本 


图 7 OCSVM 异常 模型 测试 集 检测 结果 


的 验证 采用 月 
Ph 600 条 数据 用 于 对 所 建 模型 的 : 
于 测试 。 在 不 使 用 遗传 算法 优化 处 理 时 测试 集 


if 示 ， 分 类 正确 率 为 : 


在 MATLAB 环境 实现 ,提取 
数据 网 络 的 Modbus/TCP 数据 , 进 
其 中 的 700 条 数据 作为 训练 集 ， 
为 测试 集 进 行 遗 传 算法 的 优化 操作 。 程 序 运行 
6 所 示 。 


化 处 


万 化 后 
对 
11 维 输入 


自 变 量 进行 建 模 时 ， 预 测 准 确 率 得 到 改善 和 提升 。 同 时 ， 建 模 
时 间 由 24.914s 减少 为 4.641s， 这 表明 使 
维 后 ， 建 模 时 间 缩 短 很 多 ， 证 明 采 | 


闫 腾飞 


类 别 标签 


aXiV 合 


乍 期 十 


Chin 
， 等 : 基于 遗传 算法 优化 的 OCSVM 双 轮 廊 模 型 异常 检测 算法 


测试 集 的 实际 分 类 和 预测 分 类 图 


测试 集 


Accuracy=98% 


四 
一 六 


实际 测试 集 分 类 
预测 测试 集 分 类 


本 


图 8 GA-OCSVM 双 轮 廊 模 型 测试 集 检测 结果 


本 文 为 验证 所 提 异 常 检测 方法 的 有 效 性 ， 将 遗传 算法 优化 


的 OCSVM 双 轮 廓 模型 与 支持 向 量 机 算法 、BP 算法 、OCSVM 


报 文 作为 训 


网 络 异 常 检 测 的 验证 ， 通 过 仿 


| 练 数 据 ， 另 外 400 条 数 提 


算法 进行 对 比 ， 采 用 相同 的 经 过 Wireshark 软件 截获 600 数据 
昌 作 为 测试 集 对 各 算法 进行 


实验 与 GA-OCSVM 实验 结果 


对 比 ， 结 果 如 表 1 所 示 。 


表 1 各 算法 性 能 对 比 


算法 测试 集 准确 率 检测 时 间 
BP 85.25% 17.352s 
SVM 96.50% 5.975s 
OCSVM 93.75% 24.914s 
GA-OCSVM 98.00% 4.641s 


但 是 GA-O 
几 种 算法 ， 


模型 通过 实时 


一 


训练 ， 其 


实际 分 类 


率 为: 


报 率 ， 使 得 检测 六 
i 度 降 


自 变量 纪 
更 强 , 灵活 
解决 工 ， 


控 和 


可 以 看 出 几 种 算法 对 测试 集 的 检测 准确 率 都 达 不 到 100%， 


CSVM 的 检测 准确 率 能 达到 98.00%， 远 远 高 于 其 他 


表明 本 文 提 出 的 经 遗传 算法 全 
协同 判别 机 制 能 
确 率 得 到 提高 。 


可 


度 高 影响 检测 准 


6 ”结束 


本 文 针 对 工控 网 络 Modbus 工业 总 线 协议 及 工控 数据 样本 
对 于 传统 IP 网 络 的 特殊 性 及 数 志 


相 
OCSVM 算 


语 


同时 经 


氏 ， 使 得 OCSVM 模型 检测 时 间 缩 短 ， 
性 更 高 。GA-OCSVM 双 轮 廓 异常 检测 模型 
I 网络 中 正常 数据 多 、 异 常数 据 少 、 
确 率 的 问题 ， 更 适用 于 实 


虽 分 布 不 均衡 性 ， 利 用 


化 的 OCSVM 双 轮 廊 
效 降低 异 


常 检 测 的 漏 报 率 和 误 
遗传 算法 优化 后 输入 
泛 化 能 力 
能 更 好 地 
变量 维 


输入 
际 工控 网 络 。 


测 


的 精度 ， 


工控 网 络 另 
价值 。 


应 | 


常 检测 的 有 效 性 ， 


缩减 了 建 模 时 间 。 通 过 念 


在 ] 


验 


[ 控 异 常 


工 开 吊 


法 分 别 构建 正常 OCSVM 模型 和 异常 OCSVM 模型 ， 
即 双 轮 廓 模 态 ， 模 拟 系统 通讯 的 正常 模式 和 异常 模式 ， 实 现 了 
工控 系统 的 异常 检测 。 同 时 本 文 将 遗传 算法 优化 自 变量 降 维 应 
于 工控 网 络 , 实现 了 对 输入 自 变 量 的 优化 处 理 , 抑制 OCSVM 
模型 出 现 过 的 拟 合 现 象 及 分 类 准确 率 低 的 问题 ， 提 高 了 异常 检 


证 了 本 文 提出 算法 对 
检测 算法 具有 较 大 的 


录用 稿 
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